美国可信网络空间创新发展理念及带给我们的思考
2016-02-24国家信息技术安全研究中心
文/国家信息技术安全研究中心 凌 燕
美国可信网络空间创新发展理念及带给我们的思考
文/国家信息技术安全研究中心 凌 燕
内容提要:近年来,为应对日益凸显的网络空间威胁和挑战,美国在其网络空间战略全面部署和网络空间力量完成体系化布势的大格局下,全力抢占网络空间技术的制高点,不断利用技术优势夯实网络空间霸主地位。《网络与信息技术研发计划》和《可信网络空间:联邦网络空间安全研发战略规划》集中体现了美国发展网络空间技术的战略性思想,其颠覆传统思维,打造可信网络空间的创新发展理念以及做法,对我国全方位加强网络空间安全体系建设,加强自主可控安全技术研究具有重要的借鉴意义。本文简要介绍了美国的两个研发计划以及带给我们的启示,给出了我们的对策与建议。
一、美国可信网络空间创新发展的新理念
(一)网络与信息技术研发计划引领世界IT潮流
美国的网络与信息技术研发(NITRD) 计划是政府资助的、力求在先进信息技术(计算、网络和软件)领域取得革命性突破的一项重大的跨部门计划,也是美国最重要的信息技术研发计划。该计划提供了一个框架,在该框架下,联邦研发机构以前所未有的合作方式,对主要的信息技术研究机构实施有机整合,充分发挥优势,避免计划重复,增加研发产品的互操作性,最大化政府投资的效益。其目的是通过对先进的网络、计算系统、软件和相关信息技术进行基础和长期的研究,确保美国在计算、网络和信息技术的世界领先地位。
NITRD计划主要集中于下列研究领域:网络物理系统、网络空间安全和信息保障、生态信息技术研发、人机交互和信息管理、高可信软件与系统、高端计算基础设施和应用、高端计算研发、软件设计与生产、大型网络、信息技术的社会、经济和劳动力意义及信息技术劳动力的发展、无线频谱研究和开发、大数据。
在美国2012年7月发布的NITRD五年战略计划中,指出了未来的关键技术挑战和应对措施,确定了三大基础支柱领域的能力建设:1.人机交互(WeCompute)。开发人机协作新模式,采用性能更好、更易获取、耗费更低的系统以及功能更强的数字化工具。2.可信度(Trust and Confidence)。设计与建设具有多层次安全的系统和网络。3.培养具备网络技能的人才(Cyber Capable)。改变教育培训的形式,培养多样性、高效率的下一代网络创新者。
不难看出,发展高性能的计算机系统、提高网络空间技能、打造可信的网络空间是NITRD计划的核心要务。特别是近年来,面对全球网络空间威胁和挑战的日益加剧,网络空间安全和信息保障越来越受到美国政府的高度重视,逐步成为NITRD计划的重要使命。
(二)联邦网络安全研发战略规划改变网络空间游戏规则
2011年12月,NITRD机构制定了《可信网络空间:联邦网络安全研发战略规划》(以下简称《规划》)。《规划》打破传统思维,确立了改变网络空间安全游戏规则的革命性思想,提出了四大研发主题,即内置安全、量身定制可信空间、移动目标和网络经济激励 ,这四大主题挑战了传统的网络空间安全研究的根基,集中体现了美国政府改变网络空间安全游戏规则的新理念和新技术。
综合分析四大研发项目,内置安全强调了在系统的软硬件设计时必须将安全要求一并考虑,以高度安全的系统抵御网络攻击。量身定制可信空间是在一个大的网络空间中,量身打造一个用户所需的独立、安全的子空间,为用户创建适合自身现实任务的安全工作环境,同时将安全成本和威胁降至最小。移动目标的特点是通过部署和运行可控且动态变化的网络和系统大幅提高攻击成本,使得攻击者对攻击的空间不可预知,从网络防御的被动反应转向主动应对。网络经济激励则是力求通过经济手段开发有效的激励措施,提升对网络空间安全的科学认识,促进安全技术被平衡配置的环境,鼓励良好的网络空间安全实践,使网络安全无所不在。
与此同时,《规划》还明确了所需的技术支持和推进目标,对网络空间安全研发策略提出了三个必须遵循的重要原则:首先,研究必须着眼于潜在的网络空间安全缺陷,专注于认识和解决网络空间安全领域带有共性、根本性的问题;第二,必须获取广泛的学科和部门专业知识和资源。强调建立科学的基础,解决方案将不仅依赖于专业知识、数学、计算机科学和电子工程,而且包括生物学、经济学和其他社会科学和行为科学等具体的跨多学科的研究和开发领域。第三,坚持永久性网络空间安全原则,即使技术和威胁环境发生变化,仍能够保持安全。
可以说,《规划》为美国网络空间安全技术研发指明了方向,将引导美国网络空间安全系统的设计理念和对抗攻击的方式发生重大变化。
(三)完善的组织架构保障可信网络空间创新发展
自上世纪90年代初,美国为确保联邦机构在网络、计算、软件、网络空间安全和相关信息技术领域的长期合作,专门成立了跨机构间网络和信息技术领域活动的协调机构,即NITRD小组委员会。该委员会隶属内阁级国家科学技术理事会(NSTC)领导的技术委员会,其正式成员包括20多个联邦机构、国防部、陆海空相关机构以及大的科学和技术部门 。国家协调办公室作为NITRD计划的中心联络点,支持NITRD小组委员会,协调NITRD计划、预算和评估活动。
NITRD小组委员会还为各主要研究领域建立了跨机构工作组或协调工作组。其中,与网络空间安全和信息保障有关的三个小组是:网络空间安全和信息保障跨机构工作组,负责协调政府机构间的网络空间安全研发活动;特别网络战研究和工程跨机构工作组,负责协调与国家安全系统相关的研究活动;网络空间安全和信息保障研发高级指导小组,由国家网络空间安全领导机构的高级代表组成,包括:国防部、国家情报局、国土安全部、国家安全局、国家科学基金会、国家标准技术局、科学技术政策办公室和预算管理办公室。该高级指导小组的一个重要职责是确定、协调和推荐网络空间安全跨越式研发战略目标,沟通研究需求,向决策者和预算官拟议预算优先事项;同时还负责加强和指导另外两个跨机构工作组的工作。
特别值得关注的是,美国这样一个大的组织架构,政府和军方完全融为一体,从NITRD小组委员会成员看,军方甚至起着主宰作用。这也使我们自然联想到,自上世纪中叶以来,以计算机、互联网为标志的两次全球信息化革命浪潮,以及近年被称为第三次信息化浪潮的“物联网”,都是由军事需求牵引、军方首先研发应用,继而得到全球广泛民用。可以说,网络安全与信息化领域的军民结合是当今世界强国的普遍做法和规律性特征。在美国,重要网络安全厂商基本都是国防部合同商,一些重要的网络空间安全战略的实施,特别是一些重大网络安全新技术研发多始于军方。最典型的例子就是美国国防高级研究计划局(DARPA),该局作为美国国防重大科技攻关项目的组织、协调、管理机构和军用高技术预研工作的技术管理部门,自成立以来就一直处于美国乃至世界技术史上重大突破技术的核心,在多个领域均处于最前沿水平,如互联网这一革命性的成果就是DARPA资助引领的创新。
美国为加强网络空间安全和信息保障领域的研发工作,建立了一整套完善的组织框架和协调机制,在国家级相关机构统筹协调下,各级组织分工明确,各司其职,交流互动,从而最大限度地减少领域内研发工作的重复和成本,最大程度地实现领域内研发成果的共享,快速推进网络空间安全和信息保障领域的整体发展。
二、美国打造可信网络空间做法带给我们的启示
(一)不断利用技术优势夯实网络空间霸主地位
美国是最早提出网络空间概念,并将网络空间安全提升至国家安全层面的国家。伴随着对网络空间安全战略地位认识的不断深入,美国现已制定出成熟的国家和国际性网络空间安全战略,率先形成相对完整的国家网络空间战略理论,网络空间战略力量已基本实现了体系化布势。与此同时,美国积极制定全球网络空间新秩序,抢夺国际网络空间话语权,宣示其在国际网络空间中的主导地位。2015年国防部发布的最新网络空间战略,更是明确将网络威慑作为战略目标,明确扩大了国防部网络空间任务的覆盖范围,明确提出中国、俄罗斯、伊朗、朝鲜等网络战争假想敌。其战略主张、战略意图和姿态已昭然若揭。
正是美国这种惩戒和威慑并举的主动防御制网战略,使其深刻认识到利用技术优势夯实网络空间霸主地位的重要性。美国的网络空间战略对内始终秉承积极务实的态度,重视自身网络空间安全,重视网络空间安全技术的研发,加紧筑牢内部安全防线。上述介绍的美国发展了20多年的《联邦网络与信息技术研发计划》和2011年底发布的《规划》,目的就是通过对先进的网络、计算系统、软件和相关信息技术进行基础和长期的科学研究,通过研发颠覆性网络空间安全新技术,改变网络空间安全游戏规则,确保美国在计算、网络和信息技术的世界领先地位,打造安全可信的网络空间。
可以说,美国在网络空间,依托其自身无以比肩的技术优势,在军事、政治、外交、经济、技术、文化等各领域全面谋求“制网权”,强力推进其“借网谋霸”的战略意图。
(二)发力科学基础研究抢占网络空间技术的制高点
美国政府认为,网络空间安全涉及多学科、多部门、多领域,在网络空间安全研发活动中还有许多规律性、基础性的问题需要科学方法和基本理论支撑。而当前美国的网络空间安全研发模式是递增型、碎片化的工作,由研究者或产品供应商的个人利益来驱动,或者是针对一些局部发生的问题采取诸如防火墙等具体安全措施,不足以应对现实和潜在的威胁。因此,美国政府希望制定一份更有效的战略规划来指导和协调网络空间安全研发工作,以保证网络空间的长治久安。美国联邦网络空间安全研发战略规划强调政府、工业界、学术界以及国际大环境中的研究人员和技术专家积极合作与交流,使机构研发工作的重迭减至最小,实现共同利益和互惠互利,推动网络空间安全技术的重大创新和持续发展。该规划还特别强调把发展科学基础研究作为强化网络空间安全的重大举措,着力构建网络空间安全知识体系,指导网络空间安全技术研发实践,将网络空间安全与信息技术高度融合。
特别值得借鉴的是,考虑到科学基础研究投资风险大、回报周期长,企业投入意愿不强等情况,《规划》中明确说明基础研究主要由政府投入,这充分体现了美国政府发展科学基础研究的决心。只有从根本上解决制约网络空间安全技术长远发展的难题,才能真正占领网络空间技术的制高点。
(三)打造可信数字世界力主全民共享的网络空间安全
美国NITRD计划的终级目标是打造可信的数字世界。为此,美国政府勾勒出一系列愿景和措施,比如,在人机交互研究领域,提出了创建泛在数字世界,使任何人在任何时间、任何地点访问任何资源,从根本上实现信息技术和网络资源的全民创造与共享;加速计算技术的发展,开发新的编程环境等;创建智慧星球;开发精密的复合软件系统;开发社会智能系统。在可信度研究中,提出了确保互联网络、系统、软件及其所存储信息的可信度;创造网络空间的无忧生活,从政策、教育及技术层面采取措施确保网络空间安全;实现信息保障与共享;平衡安全与隐私。在提高网络空间技能方面,提出了打造一支既包括网络专业人员,也包括其他所有部门的专业人士和技术人员在内的网络创新者大军;对公民进行网络安全知识的普及教育,提高其掌握新知识的能力。
不难看出,美国将网络空间安全和信息保障的研究和开发完全融入到打造可信的数字世界这一大环境中,立足于全方位提升国家安全、经济繁荣、科学进步、教育水平以及生活质量,从根本上实现全民共享的网络空间安全。这也是我们在制定国家网络空间安全发展战略立意时可借鉴和学习的。
三、对我国网络空间安全发展的建议
习近平主席在中央网络安全和信息化领导小组第一次会议上明确提出没有信息化就没有现代化,没有网络安全就没有国家安全,充分显示出最高层保障网络安全、维护国家利益、推送信息化发展的决心,催化我国进入了建设网络安全强国的最佳发展机遇期。2015年将是我国构建网络安全强国全面布局和实施的一年,制定国家网络空间安全发展战略、完善领导体制、调整组织结构、改变政府管理模式、改善信息技术产业的生态环境、创建网络空间安全的整体架构、加强网络空间安全技术的自主研发、加快建设网络空间安全人才队伍等,都将是今后一段时间我们国家亟待落实和解决的问题。
以下是笔者在学习研究美国《网络与信息技术研发计划》和《可信网络空间:联邦网络空间安全研发战略规划》的基础上,深入思考和借鉴美国的一些做法,对我国在网络空间安全战略规划中需重点关注的问题给出几点建议。
(一)制定综合长远规划,以大格局思维引领网络空间安全体系建设
首先,需从国家层面尽快制定出具有统筹性和前瞻性的网络空间发展战略规划,从政策、法律、机制、体制等各个方面对网络空间的战略定位、指导原则、发展目标、体系建设、实施方针、技术手段、人才培养等方面加以明确,建立健全国家网络空间安全保障体系,完成符合中国实力和发展趋势的顶层设计,以确保我国网络空间发展的长期性、连贯性和安全性。
其次,通过该规划,强化对国家网络空间的集中统一领导,建立由国家顶层领导指挥、责权分明、信息共享、关系协调的网络空间安全管理机制,将政府、军方、企业、科研院所乃至民间的主要网络与信息技术研究机构、网络与信息安全研究机构有机整合,共享各方技术优势,避免计划重复和资源浪费。
第三,通过该规划,加强对先进的网络、计算系统、软件和相关信息技术进行基础和长期的研究,力争在计算、网络和信息技术领域跻身世界先进行列。加强网络空间核心概念与网络空间防御内涵外延、性质特点等基础理论研究,形成有特色的理论体系,正确指导网络空间安全整体建设发展。
总之,要从国家安全、社会稳定、经济发展和人民生活等方面的长远利益出发,着力科学基础研究,以信息技术发展引领网络空间安全体系建设,以大格局思维构建网络安全强国。
(二)加强军民融合,以举国之力推动国家网络空间安全整体实力的跃升
美国在组织政府、军方以及企业等各阶层、各类型网络空间安全技术保障力量方面对我国建立军民融合组织架构,保障网络空间安全与信息化技术资源的整合利用应有积极的启示作用。
首先,建立国家级的网络空间技术独立机构,强化其统领和协调政府、军方和企业的网络空间安全建设的职能,推动政府部门、军队相关单位以及业界的合作,将国内最先进的网络空间侦攻防技术集成用于国家关键基础设施、政府要害部门以及军方核心位置,以保障网络空间的绝对安全。
其次,以新的战略思维引领网络空间安全与信息化军民融合创新发展。加快构建军地信息融合共享平台,拓展联通渠道,规范互通标准,实现军地信息资源充分互补共用,推动网络与信息技术协同创新。围绕发挥军事需求对前沿创新的牵引带动作用,建立网络和信息化人才军地接力培养、联合使用、流动管理的体系,拓宽军地之间人才兼容、储备和交流使用渠道。通过统筹军队、政府、民间、企业专业人才资源的运用,聚力突破关键信息技术,大力推动军民技术相互转化,实现国防与国家网络空间安全与信息化建设相互促进、协调发展。
第三,提高军力地位,加强专业化的网络空间防御作战力量建设。美国军队在维护网络空间安全中发挥作用越来越大,甚至起着主体作用。我国要加快发展网络空间作战专业力量,在网络战指挥体制、网络战部队建设上下大功夫。以军队为主体构建功能完备、侦攻防一体的网络空间作战体系,对全国的网络空间作战力量(包括军方和民间力量)实施统一的指挥。综合运用国家科技发展能力,发展有自身特色的网络空间防御作战技术和武器,提升网络空间作战能力。
(三)突破传统禁锢,以创新发展理念加强自主可控安全技术研究
面对网络空间安全领域的严峻形势,加快自主可控技术的研发和应用是我国当前实现网络安全强国的关键。首先,明确和调整网络空间技术发展战略方向。应立足国情,加快制定相关法律法规,进一步完善我国网络空间安全保障工作的环境。要充分认清我国在技术产业上的巨大差距,努力跟踪美国等国家网络空间先进技术和应用的发展,在认真学习和吸收西方技术的同时,以创新性思维突破关键信息技术,探索从根本上解决网络空间安全问题的途径。
其次,全面构建国家网络空间安全技术自主可控保障体系。一是充分发挥我国体制优势,设立并实施国家网络空间安全技术重大专项研究,加强安全芯片、操作系统、应用软件、安全终端产品等核心技术和关键产品的攻关。二是加快推进可信计算产业化,积极构建安全可信的系统框架,做到体系结构可信、操作行为可信、资源配置可信、数据存储可信、策略管理可信。三是大幅增加对网络空间安全关键技术研究的资金投入,全力推进关键技术和产品的国产化有序替代。四是对网络与信息安全产品、系统和服务进行全生命周期管理。国家应尽快实行网络安全审查制度,只有通过漏洞(后门)深度检测的网络技术、产品、系统,才准予进入我国核心技术领域、基础网络和重要信息系统,保证我国基础网络和重要信息系统在用关键技术、产品的安全。
第三,大力扶持我国网络与信息安全技术产业的发展。规范和整合我国网络与信息安全企业,以各种优惠政策促进网络与信息安全产业的快速发展,形成结构完整、层次分明的自主网络与信息安全产业链,既有较强实力的国家级承包商,又有提供行业解决方案和完整产品线的专业信息安全企业。同时还要紧跟国际新技术发展,高度重视云计算、物联网、移动互联网、大数据等新技术新业务催生的安全新需求,鼓励和扶持新兴产业。通过产业链接,打造我国自主可控的网络与信息安全产业生态体系。通过改善网络与信息安全技术自主创新环境,支持鼓励有实力企业通过市场化加快自主创新,力争在一些重点关键技术领域取得突破。加强网络与信息安全市场的政策引导,合理利用国际规则,约束国外企业在国内市场的发展,为自主网络与信息安全产品提供更好的生存空间,推动研究成果的转化。坚持以应用促发展,支持政府部门和重要领域率先采用具有自主信息安全技术产品,带动从基础产品到应用产品和服务的具有完全自主知识产权产业发展。
从长期发展考虑,我们不仅是要解决替代的问题,更重要的是要在国际上创立属于中国的信息技术品牌和产品,力争在世界上占有一席之地,打破西方国家在信息技术体系上对我钳制的局面。
(四)夯实网络安全基础,以民为本创建安全可信的网络空间环境
作为网络大国,在当今活跃的网络威胁环境中,如何夯实网络安全基础,形成全民共建网络安全、共享网络文明的良好环境,是我国互联网+时代必须高度重视和解决的问题。
首先,要进一步完善互联网建设管理的法律法规。从全民利益出发,建立健全互联网管控机制,坚决打击网上违法犯罪活动,确保网络信息既自由流动又安全流动、有序流动,更好维护国家网络空间安全和发展利益,维护人民群众网络信息合法权益。要大力倡导积极健康向上的网络文化,增强网民的道德自律,让网络更多地传播正能量,使网络空间真正晴朗起来。
其次,提升全民的网络安全意识和网络安全防护能力。网络安全环境的构建需要全社会的广泛参与和配合,坚持开展诸如“网络空间安全知识竞赛”、“网络空间安全宣传周”等形式的网络空间安全教育活动,普及网络空间安全知识和基本的网络安全防护技能,让自觉维护网络空间安全成为每个公民的行为习惯。
第三,探索建立具有中国特色的网络空间安全人才培养体系。大幅度增加专业人才培养的经费支出,要针对不同年龄段、不同人群开展不同类型的教育培训。在学历教育方面,重点通过学校正规的高等教育培养高水平的网络安全人才,提升网络安全科研水平和能力,同时着力于青少年的网络安全教育。在社会培训方面,面向政府、军队、高校、企业、社会团体等不同类型的对象,有针对性的定期安排业内人员培训,组织跨机构的案例学习和经验交流,还可以联合高校开设网络空间管理和技术的培训课程等。在实践方面,要在国家层面或军队层面有计划开展网络空间战模拟及演习,通过实践经验的积累,不断提高人才队伍网络空间作战专业素质,提高国家、军队对网络威胁的应对能力。
第四,建立网络威胁信息共享机制。积极研究信息共享体系结构,提供信息共享方案规划、实施和维护的指导。通过信息共享,增强对威胁的认识,提高共享态势感知能力,提高防御敏捷性,提高机构决策能力,构建政府与民众共同应对网络威胁和风险的安全可信的网络环境。
随着国际形势风云变幻,未来世界主要国家的网络空间战略与政策部署将出现新的调整变化,网络空间安全斗争日趋激烈复杂。我们应洞悉国际形势,密切掌握网络空间发展趋势,牢牢把握发展机遇,抓紧理清和确定我国网络空间建设发展整体思路,尽快建立和完善网络空间安全保障体系,立足形成全局性战略威慑能力和复杂网络环境掌控能力,加强多领域、多类型、多层次的力量建设,建立和完善军民一体、平战结合、统一指挥、协调运用的网防机制,打造与大国地位相适应的网络空间能力。